基于XML的協(xié)作式入侵檢測系統(tǒng)的設(shè)計與原型實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的普及,計算機(jī)的安全問題變得越來越嚴(yán)重.入侵檢測系統(tǒng)能夠監(jiān)視對計算機(jī)系統(tǒng)的非法訪問,誤用和濫用,確保計算機(jī)應(yīng)用系統(tǒng)的安全.在我們所設(shè)計的上海捷瑪流通EDI系統(tǒng)中,如何利用IDS(入侵檢測系統(tǒng))來保護(hù)正常的網(wǎng)絡(luò)服務(wù)運(yùn)行,促使我們開展了該課題的研究.目前,市場上有上千種的入侵檢測系統(tǒng)供用戶選擇,但是黑客活動日益頻繁,攻擊手段越來越隱蔽、多樣化、復(fù)雜化,僅僅依靠一種工具很難應(yīng)付,而多個入侵檢測系統(tǒng)的協(xié)作則可以大大提高系統(tǒng)的整體安全

2、性.本文首先介紹了現(xiàn)有協(xié)作入侵技術(shù),包括DARPA的CIDF(通用入侵檢測框架),IDWG(入侵檢測工作組,隸屬IETF組織)的IDMEF(入侵檢測消息交換格式).通過對這些技術(shù)特點(diǎn)的對比,提出了一個基于XML的協(xié)作式入侵檢測系統(tǒng)架構(gòu).采用XML作為入侵警報信息表達(dá)語言,制定了通用的標(biāo)準(zhǔn)入侵交換格式.以該標(biāo)準(zhǔn)為核心,建立了從單一主機(jī)到internet范圍的安全體系架構(gòu).在設(shè)計部分,分三個層次詳細(xì)描述了該安全體系的結(jié)構(gòu),各個部分的功能,以

3、及系統(tǒng)運(yùn)作的過程.為了驗(yàn)證設(shè)計的可行性和正確性,在設(shè)計的基礎(chǔ)上,實(shí)現(xiàn)了一個原型系統(tǒng).該原型在linux操作系統(tǒng)下實(shí)現(xiàn),利用snort入侵檢測系統(tǒng)作為探測器和分析器,加入XML插件使其支持標(biāo)準(zhǔn)入侵交換格式,利用PHP和MYSQL建立了一個網(wǎng)頁式的管理器.通過配置,遠(yuǎn)程的管理器可以接收分析器傳輸過來的XML警報信息,同時應(yīng)用XSL文檔顯示格式,在網(wǎng)頁上以友好的界面顯示.通過測試,本文所實(shí)現(xiàn)的原型系統(tǒng)運(yùn)行正常,遠(yuǎn)程的管理器可以及時響應(yīng)分析器傳